Configurez RADIUS et TACACS+ pour l'authentification GUI et CLI sur 9800 contrôleurs LAN Sans fil

Introduction

Ce document décrit comment configurer 9800 contrôleurs LAN d'une radio (WLC) pour l'authentification externe de RADIUS ou TACACS+ quand vous accédez à son interface utilisateur graphique (GUI) ou interface de ligne de commande (CLI).

Informations générales

Quand des essais d'un utilisateur pour accéder au CLI ou le GUI du WLC, il seront incités pour entrer un nom d'utilisateur et mot de passe. Par défaut, ces qualifications sont comparées contre la base de données locale des utilisateurs, qui est présente sur le périphérique lui-même. Alternativement, le WLC peut être chargé afin de comparer les qualifications d'entrée contre un serveur distant d'AAA : le WLC peut parler au serveur avec l'utilisation de RADIUS ou de TACACS+.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Modèle de configuration de la radio 9800 de Catalyst
• Concepts d'AAA, de RADIUS et TACACS+

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• C9800-CL v16.10
• ISE 2.2.0

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

Dans cet exemple, configurez deux types d'utilisateurs sur le serveur d'AAA (ISE), respectivement l'adminuser et le helpdeskuser. On s'attend à ce qu'on accorde l'adminuser d'utilisateur l'accès complet au WLC, tandis que le helpdeskuser est censé pour être accordé seulement des privilèges de moniteur au WLC, par conséquent aucun accès de configuration.

D'abord, configurez sur le WLC et sur ISE pour l'authentification de RADIUS, et exécutez plus tard la même chose pour TACACS+.

Configurez RADIUS WLC

Étape 1. Déclarez le serveur de RADIUS.

Premièrement, créez le serveur ISE de RADIUS sur le WLC. Ceci peut être fait de la page https:// <WLC-IP>/webui/#/aaa GUI WLC suivant les indications de l'image.

Une fenêtre contextuelle s'ouvrira, où vous pouvez taper le nom du serveur (il ne doit pas apparier le nom de système ISE), son adresse IP, le secret partagé, et le port qui est utilisé pour l'authentification et la comptabilité, avec d'autres paramètres.

Du CLI :

paolo-9800(config)#radius server labISE
paolo-9800(config-radius-server)# address ipv4 10.48.71.92 auth-port 1812 acct-port 1813
paolo-9800(config-radius-server)# key Cisco123

Étape 2. Tracez le serveur de RADIUS à un groupe de serveurs.

Au cas où vous auriez les plusieurs serveurs de RADIUS qui peuvent être utilisés pour l'authentification, elle est recommandée de tracer tous ces serveurs au même groupe de serveurs. Le WLC prendra alors soin de différentes authentifications d'Équilibrage de charge parmi les serveurs au groupe de serveurs.

Du même onglet GUI suivant les indications de l'image.

Dans l'instantané, donnez un nom au groupe, et déplacez les serveurs désirés à la liste assignée.

Du CLI :

paolo-9800(config)#aaa group server radius radGroup
paolo-9800(config-sg-radius)# server name labISE

Étape 3. Créez une méthode d'authentication login d'AAA ces points au groupe de serveurs de RADIUS.

Toujours dans la page https:// <WLC-IP>/webui/#/aaa GUI, le mouvement à l'onglet de liste de méthode d'AAA et créent la méthode d'authentification suivant les indications de l'image.

Dans l'instantané, donnez un nom à la méthode, type de sélection comme procédure de connexion, et affectez le serveur de groupe créé dans l'étape précédente.

Si vous sélectionnez le type de groupe en tant que « gens du pays », le WLC vérifiera d'abord si l'utilisateur existe localement, et retombera ensuite au groupe de serveurs.

CLI :

paolo-9800(config)#aaa authentication login radAutheMethod local group radGroup

Si vous ne sélectionnez le type de groupe en tant que « groupe », et aucune chute de nouveau à l'option locale vérifiée, le WLC vérifiera juste l'utilisateur contre le groupe de serveurs.

CLI :

paolo-9800(config)#aaa authentication login radAutheMethod group radGroup

Si vous sélectionnez le type de groupe en tant que « groupe », et la chute de nouveau à l'option locale est vérifiée, le WLC vérifiera l'utilisateur contre le groupe de serveurs et questionnera la base de données locale seulement si le serveur ne répond pas. Si le serveur envoie une anomalie, l'utilisateur ne sera pas authentifié, quoiqu'elle pourrait exister sur la base de données locale.

CLI :

paolo-9800(config)#aaa authentication login radAutheMethod group radGroup local

Dans cette installation d'exemple, il y a quelques utilisateurs qui sont seulement créés localement, et quelques utilisateurs seulement sur le serveur ISE, par conséquent se sert du premier choix.

Étape 4.Create qu'une méthode d'exécutif d'autorisation d'AAA cette indique le groupe de serveurs de RADIUS. L'utilisateur doit être également autorisé afin de pour être accordé l'accès. Du même onglet suivant les indications de l'image.

Utilisez la même commande des gens du pays/du groupe qui est utilisé pour la méthode d'authentification dans l'étape précédente, et du type de sélection en tant que « exécutif ».

Du CLI :

paolo-9800(config)#aaa authorization exec radAuthzMethod local group radGroup

Étape 5. Assignez les méthodes aux configurations de HTTP et aux lignes VTY utilisées pour Telnet/SSH. Ces étapes ne peuvent pas avoir lieu du GUI, par conséquent elles doivent être faites du CLI.

Pour l'authentification GUI :

paolo-9800(config)#ip http authentication aaa login-authentication radAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization radAuthzMethod

Pour l'authentification Telnet/SSH :

paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication radAutheMethod
paolo-9800(config-line)#authorization exec radAuthzMethod 

Quand vous apportez les modifications aux configurations de HTTP, il est le meilleur de redémarrer des services du HTTP et HTTPS :

paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

Configurez RADIUS ISE

Étape 1. Configurez le WLC comme périphérique de réseau pour RADIUS suivant les indications de l'image.

Dans la nouvelle fenêtre, ajoutez l'adresse IP, RADIUS choisi, et tapez la même chose secret partagé utilisé sur le WLC.

Étape 2. Créez un résultat d'autorisation, pour renvoyer le privilège.

Afin de configurer, l'adminuser doit avoir un niveau de privilège de 15, qui laisseront accéder au shell de demande d'exécutif. L'autre utilisateur à la place, helpdeskuser n'a pas besoin de l'accès de shell de demande d'exécutif, et il peut être assigné un niveau de privilège plus bas que 15. Afin de faire ainsi, créez un résultat de profil d'autorisation pour l'adminuser suivant les indications de l'image.

En particulier, le profil pour l'adminuser doit ressembler à ceci :

Créez alors semblable pour le helpdeskuser, modification seulement la chaîne shell:priv-lvl=15 pour écosser : le priv-lvl=X, et remplacent X par le niveau de privilège désiré. Dans cet exemple, 1 est utilisé.

Étape 3. Créez les utilisateurs sur ISE suivant les indications de l'image.

Les qualifications données aux utilisateurs seront celles que vous saisirez le WLC plus tard quand vous authentifiez. 

Étape 4. Authentifiez les utilisateurs : Dans ce scénario, la règle de stratégie d'authentification par défaut d'ISE préconfiguré déjà permet l'accès au réseau par défaut, par conséquent il n'y a aucun besoin de le changer :

Étape 5. Autorisez les utilisateurs : Après que la tentative de procédure de connexion passe la stratégie d'authentification, elle doit être autorisée, et ISE doit renvoyer le profil d'autorisation créé plus tôt (l'autorisation reçoivent, avec le niveau de privilège).

Dans cet exemple, filtrez la tentative de procédure de connexion basée sur l'adresse IP de périphérique (qui est l'adresse IP WLC), et distinguez le niveau de privilège à accorder basé sur le nom d'utilisateur.

Une autre approche valide sera d'affecter tous les utilisateurs d'admin à un certain groupe et d'accorder le niveau de privilège 15 seulement aux utilisateurs qui appartiennent à un tel groupe.

Configurez Tacacs+ WLC

Étape 1. Déclarez le serveur Tacacs+. Tout d'abord, créez le serveur ISE Tacacs+ sur le WLC. Ceci peut être fait de la page https:// <WLC-IP>/webui/#/aaa GUI WLC.

Une fenêtre contextuelle s'ouvre, où vous pouvez introduire le nom du serveur (il ne doit pas apparier le nom de système ISE), son adresse IP, la clé partagée, et le port qui est utilisé et le délai d'attente.

Du CLI :

paolo-9800(config)#tacacs server labISE
paolo-9800(config-server-tacacs)# address ipv4 10.48.71.92
paolo-9800(config-server-tacacs)# key Cisco123

Étape 2. Tracez le serveur Tacacs+ à un groupe de serveurs. Au cas où vous auriez de plusieurs serveurs Tacacs+ qui peuvent être utilisés pour l'authentification, elle est recommandée de tracer tous ces serveurs au même groupe de serveurs. Le WLC prend alors soin de différentes authentifications d'Équilibrage de charge parmi les serveurs au groupe de serveurs.

Du même onglet GUI suivant les indications de l'image.

Dans l'instantané, donnez un nom au groupe, et déplacez les serveurs désirés à la liste assignée.

Du CLI :

paolo-9800(config)#aaa group server tacacs+ tacGroup
paolo-9800(config-sg-tacacs+)# server name labISE

Étape 3. Créez une méthode d'authentication login d'AAA ces points au groupe de serveurs Tacacs+. Toujours dans la page GUI, https:// <WLC-IP>/webui/#/aaa, mouvement à l'onglet de liste de méthode d'AAA, et créent la méthode d'authentification suivant les indications de l'image.

Dans l'instantané, donnez un nom à la méthode, type de sélection comme procédure de connexion, et affectez le serveur de groupe créé dans l'étape précédente.
Si vous sélectionnez le type de groupe comme gens du pays, WLC les contrôles d'abord si l'utilisateur existe localement, et retomberont alors au groupe de serveurs.

CLI :

paolo-9800(config)#aaa authentication login tacAutheMethod local group tacGroup 

Si vous ne sélectionnez le type de groupe comme groupe, et aucune chute de nouveau à l'option locale vérifiée, le WLC vérifie juste l'utilisateur contre le groupe de serveurs.

CLI :

paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup 

Si vous sélectionnez le type de groupe en tant que groupe, et la chute de nouveau à l'option locale est vérifiée, le WLC vérifiera l'utilisateur contre le groupe de serveurs et questionnera la base de données locale seulement si le serveur ne répond pas. Si le serveur envoie une anomalie, l'utilisateur ne sera pas authentifié, quoiqu'elle pourrait exister sur la base de données locale.

CLI :

paolo-9800(config)#aaa authentication login tacAutheMethod group tacGroup local

Dans cette installation, quelques utilisateurs sont seulement créés localement et quelques utilisateurs seulement sur le serveur ISE, par conséquent le premier choix est utilisé.

Étape 4. Créez une méthode d'exécutif d'autorisation d'AAA ces points au groupe de serveurs Tacacs+. L'utilisateur doit également être autorisé afin de pour être accordé l'accès. Du même onglet suivant les indications de l'image.

Utilisez la même commande des gens du pays/du groupe qui est utilisé pour la méthode d'authentification dans l'étape précédente, et du type de sélection en tant que « exécutif ».

Du CLI :

paolo-9800(config)#aaa authorization exec tacAuthzMethod local group tacGroup

Étape 5. Assignez les méthodes aux configurations de HTTP et aux lignes VTY utilisées pour Telnet/SSH

Ces étapes ne peuvent pas être faites du GUI, par conséquent elles doivent être faites du CLI.

• Pour l'authentification GUI :

paolo-9800(config)#ip http authentication aaa login-authentication tacAutheMethod 
paolo-9800(config)#ip http authentication aaa exec-authorization tacAuthzMethod 

• Pour l'authentification Telnet/SSH :

paolo-9800(config)#line vty 0 15
paolo-9800(config-line)#login authentication tacAutheMethod 
paolo-9800(config-line)#authorization exec tacAuthzMethod

Remarque: en faire change en les les configurations de HTTP, il est le meilleur de redémarrer des services du HTTP et HTTPS :

paolo-9800(config)#no ip http server
paolo-9800(config)#no ip http secure-server
paolo-9800(config)#ip http server
paolo-9800(config)#ip http secure-server

Configuration Tacacs+ ISE

Étape 1. Configurez le WLC comme périphérique de réseau pour Tacacs+ :

Notez que dans cet exemple, le WLC est déjà ajouté pour RADIUS, par conséquent cliquent sur éditent en fonction, et font descendre l'écran aux configurations d'authentification TACACS, et ajoutent le secret nécessaire :

Remarque: afin d'utiliser ISE comme serveur TACACS+, vous devez avoir un module de permis de gestion de périphérique, et une base ou un permis de mobilité.

En outre, une fois que les permis sont installés, vous devez activer la caractéristique d'admin de périphérique pour le noeud. Pour faire ainsi, éditer le noeud de déploiement de noeud sous l'administrateur > le déploiement, et cocher la case :

Étape 2. Créez les profils TACACS, pour renvoyer le privilège

Afin de faire des configurations, les besoins de « adminuser » d'avoir un niveau de privilège de 15, qui laisseront accéder au shell de demande d'exécutif.

L'autre utilisateur à la place, « helpdeskuser » n'aura pas besoin de l'accès de shell de demande d'exécutif, et il peut être assigné un niveau de privilège plus bas que 15.

Pour faire ainsi, créez les profils TACACS :

Configurez un profil d'admin avec le privilège 15 comme suit :

Dans le profil de help desk à la place, le privilège par défaut est placé en tant que 1.

Étape 3. Créez les utilisateurs sur ISE :

C'est identique que sur l'étape 3 de la configuration de RADIUS ISE

Étape 4. Créez une stratégie d'admin de périphérique réglée :

La stratégie spécifique a placé "IOS-9800", dans cet exemple, des demandes de filtres avec l'adresse IP égale à l'IP de l'exemple 9800.

Comme stratégie d'authentification, nous laissons la règle par défaut, et avons installé deux règles d'autorisation :

• le premier est déclenché quand le nom d'utilisateur est « adminuser », il permet toute la règle de commandes (par l'intermédiaire du par défaut « Permit_all "), et il assigne le privilège 15 (par l'intermédiaire de 'IOS_Admin)
• le second est déclenché quand le nom d'utilisateur est « helpdeskuser », il permet toute la règle de commandes (par l'intermédiaire du par défaut « Permit_all "), et il assigne le privilège 15 (par l'intermédiaire de 'IOS_Helpdesk)

Dépannage

Afin de dépanner l'accès TACACS+ au GUI ou au CLI du WLC, émettre la « commande du debug tacacs, avec « le terme lundi » et voir la sortie vivante quand une tentative de procédure de connexion est faite.

Une tentative réussie de procédure de connexion de l'utilisateur de « adminuser » est affichée ci-dessous :

paolo-9800#terminal monitor
paolo-9800#debug tacacs
TACACS access control debugging is on
paolo-9800#
Apr 17 12:16:55.269: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.270: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.270: TPLUS: processing authentication start request id 0
Apr 17 12:16:55.270: TPLUS: Authentication start packet created for 0(adminuser)
Apr 17 12:16:55.270: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.270: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.271: TPLUS(00000000)/0/NB_WAIT: wrote entire 29 bytes request
Apr 17 12:16:55.271: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.272: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 15 bytes data)
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.277: TPLUS(00000000)/0/READ: read entire 27 bytes response
Apr 17 12:16:55.277: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.278: TPLUS: Received authen response status GET_PASSWORD (8)
Apr 17 12:16:55.278: TPLUS: Queuing AAA Authentication request 0 for processing
Apr 17 12:16:55.278: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.279: TPLUS: processing authentication continue request id 0
Apr 17 12:16:55.279: TPLUS: Authentication continue packet generated for 0
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.279: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 103 bytes data)
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.302: TPLUS(00000000)/0/READ: read entire 115 bytes response
Apr 17 12:16:55.302: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.302: TPLUS: Received authen response status PASS (2)
Apr 17 12:16:55.303: TPLUS: Queuing AAA Authorization request 0 for processing
Apr 17 12:16:55.303: TPLUS(00000000) login timer started 1020 sec timeout
Apr 17 12:16:55.303: TPLUS: processing authorization request id 0
Apr 17 12:16:55.304: TPLUS: Inappropriate protocol: 25
Apr 17 12:16:55.304: TPLUS: Sending AV service=shell
Apr 17 12:16:55.304: TPLUS: Sending AV cmd*
Apr 17 12:16:55.304: TPLUS: Authorization request created for 0(adminuser)
Apr 17 12:16:55.304: TPLUS: Using server 10.48.71.92
Apr 17 12:16:55.304: TPLUS(00000000)/0/NB_WAIT/7FF771A25E18: Started 5 sec timeout
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: socket event 2
Apr 17 12:16:55.305: TPLUS(00000000)/0/NB_WAIT: wrote entire 48 bytes request
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.305: TPLUS(00000000)/0/READ: Would block while reading
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 18 bytes data)
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: socket event 1
Apr 17 12:16:55.335: TPLUS(00000000)/0/READ: read entire 30 bytes response
Apr 17 12:16:55.335: TPLUS(00000000)/0/7FF771A25E18: Processing the reply packet
Apr 17 12:16:55.335: TPLUS: Processed AV priv-lvl=15
Apr 17 12:16:55.335: TPLUS: received authorization response for 0: PASS
Apr 17 12:16:55.335: AAA Proxy: Couldnt get the login info
Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS

Apr 17 12:16:55.426:  Socket I/O cleanup message sent to TACACS
TPLUS Proc:SOCKET IO CLEANUP EVENT
TPLUS Proc:SOCKET IO CLEANUP EVENT

Apr 17 12:16:55.336: %WEBSERVER-5-LOGIN_PASSED: Chassis 1 R0/0: nginx: Login Successful from host 10.149.4.75 by user 'adminuser' using crypto cipher 'ECDHE-RSA-AES256-GCM-SHA384'

Il peut voir que le serveur Tacacs+ renvoie le privilège correct 'poids du commerce priv-lvl=15

En faire l'authentification de RADIUS, au lieu de cela, nous aurons une sortie de débogage semblable, au sujet du trafic de RADIUS.

le « debug aaa authentication » et la « autorisation de debug aaa » afficheront à la place quelle liste de méthode est sélectionnée par le WLC quand l'utilisation essaye d'ouvrir une session.